Sage DPW ist jetzt SOC 2 Typ 2 zertifiziert

Unternehmen müssen Cloud- und Software-Anbietern vertrauen können, dass ihre Daten sicher gespeichert und verarbeitet werden. Warum Sie bei der Anbieterauswahl auf das Zertifikat SOC 2 Typ 2 achten sollten, erfahren Sie hier.

Wer schützt verlässlich meine sensiblen Daten?

Hackerangriffe nehmen jedes Jahr zu, die DACH-Region und dabei nochmals speziell Österreich waren zuletzt besonders stark betroffen: So stieg die Zahl der Cyber-Attacken auf heimische Unternehmen im dritten Quartal 2024 um alarmierende 127 Prozent im Vergleich zum Vorjahresquartal an. Unternehmen stellen sich daher zurecht die dringende Frage, wie sie ihre Daten, darunter besonders ihre kritischen personenbezogenen Daten, schützen sollen. Für professionellen Datenschutz und auch aus Kostengründen überlegen immer mehr Firmen, auf Cloudlösungen umzusteigen, wo sie ihre Daten von Service-Anbietern speichern und teilweise auch verarbeiten lassen; das betrifft KMU, genauso wie Konzerne. Sie sind auf der Suche nach Profis, weil sie selbst nicht genügend Spezialwissen für IT-Security aufbauen und auf dem neuesten Stand halten können. Doch bei der Auswahl des geeigneten Partners stehen diese Unternehmen vor einem Problem: Wie sollen sie kontrollieren oder prüfen, ob ihr Anbieter das erforderliche Wissen über IT-Security hat und ob er geeignete Sicherheitsvorkehrungen getroffen hat?

SOC 2: Zertifizierte Datensicherheit

Diese Kontrolle bzw. Prüfung ermöglicht SOC 2, das ist die Abkürzung für Systems and Organization Controls. Es bezeichnet ein standardisiertes Kontrollverfahren inklusive Reporting, in dem bewertet wird, wie ein Unternehmen mit Daten umgeht. Dieser internationale Standard wurde von der anerkannten Auditierungsstelle AICPA (American Institute of Certified Public Accountants) entwickelt. Die AICPA hat mehrere Standards entwickelt, wobei SOC 2 für die Zertifizierung von Cloud-Anbietern eingesetzt wird. Die Prüfung wird von externen Auditoren durchgeführt.

SOC 2 Typ 2: Längerer Bewertungszeitraum

Unterschieden wird dabei zwischen SOC 2 Typ 1 und SOC 2 Typ 2 Zertifizierung und der Unterschied liegt im Zeitrahmen: SOC 2 Typ 2 bedeutet insofern mehr Sicherheit, weil nicht eine Momentaufnahme bewertet wird, sondern die Wirksamkeit der Maßnahmen im operativen Betrieb nachgewiesen werden muss, in der Regel ist das ein Zeitraum von mindestens sechs Monaten. Die Zertifizierung nach SOC 2 Typ 2 ist also ein durchaus aufwendiger Prozess: Damit beweisen Service-Anbieter ihren Unternehmenskunden, dass Datensicherheit für sie ein zentraler Wert ist und sie ihre Services auch laufend überwachen und ggf. aktualisieren.

Bis zu 5 Vertrauensgrundsätze

Die SOC 2 Zertifizierung umfasst fünf Punkte zur Überprüfung, wie Cloud-Anbieter und SaaS-Anbieter (Software-as-a-Service) mit den Daten ihrer Kunden umgehen. Mit der Zertifizierung belegen diese Anbieter, dass sie die Einhaltung einiger oder aller fünf „Trust Service Criteria“ bzw. Vertrauensgrundsätze nachweislich erfüllen. Datensicherheit ist dabei ein obligatorischer Punkt, die anderen Punkte hängen vom jeweiligen Business ab:

  • Datensicherheit: Informationen sind gegen unbefugten Zugriff und unbefugte Offenlegung geschützt. Enthalten ist auch der Schutz vor Systemschäden, um die Verfügbarkeit und Integrität der Daten sicherzustellen. Das ist die grundlegende Kategorie.
  • Verfügbarkeit: Damit Daten jederzeit für Berechtigte zugänglich sind, gibt es Maßnahmen für die Aufrechterhaltung des Betriebs der Systeme. Das ist besonders bei geschäftskritischen Anwendungen wichtig, wo Systemausfälle kritische Folgen haben oder hohe Kosten verursachen können.
  • Verarbeitungsintegrität: Die Verarbeitung muss vollständig, gültig, präzise, rechtzeitig und autorisiert sein. Das betrifft zumeist Kunden im E-Commerce oder Finanzbereich.
  • Vertraulichkeit: Als vertraulich gekennzeichnete Informationen müssen gesetzeskonform und übereinstimmend mit den Unternehmensrichtlinien geschützt werden können, von der Erfassung bis zur Löschung. Das betrifft etwa geistiges Eigentum.
  • Datenschutz: Personenbezogenen Daten müssen datenschutzkonform gesammelt, verwendet, aufbewahrt, offengelegt oder gelöscht werden können. Das betrifft zum Beispiel HR-Daten.

Vorteile der SOC 2 Typ 2 Zertifizierung von Sage DPW

Gerade im Personalbereich ist Datenschutz ein zentrales Anliegen und auch eine gesetzliche Pflicht. Unternehmen sollten daher bei der Auswahl ihres HR-Softwarepartners besondere Aufmerksamkeit auf Datensicherheit legen. Die Zertifizierung SOC 2 Typ 2 von Sage DPW bedeutet für Sie als Unternehmen bzw. Sage-Kunde:

  • Durch externe standardisierte Audits ist nachgewiesen, dass die Systeme und Prozesse von Sage DPW den höchsten Sicherheitsstandards entsprechen. Dazu gehören zahlreiche Maßnahmen, u.a. die MFA – Multi-Faktor-Authentifizierung bei der Anmeldung ins System.
  • SOC 2 ist speziell auf Anbieter von Cloud-Services zugeschnitten. Damit können Sie ohne Sicherheitsbedenken auf eine moderne Cloud-Lösung setzen und diese bringt Ihnen gesetzeskonforme Datenablage, reibungslosen Betrieb, Wartung und IT-Security durch Profis.
  • Die Wirksamkeit der Maßnahmen wurde über mehr als ein halbes Jahr im operativen Betrieb nachgewiesen, das besagt die zusätzliche Kategorisierung des Zertifikats nach Typ 2. Kontinuität und ständige Wachsamkeit sind entscheidend, angesichts der sich laufend ändernden Cyberbedrohungen.
  • Sie vermindern Ihre unternehmerischen Risiken und erfüllen gesetzliche Compliance-Anforderungen.
  • Sie können sich darauf verlassen, dass ihre sensiblen personenbezogenen Personaldaten mit geeigneten Datenschutzmaßnahmen und laufenden Kontrollen bei Sage DPW in guten Händen sind.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

26. April 2019 5 Schritte zur People Company

Damit ein Unternehmen nachhaltig wächst, braucht es motivierte Mitarbeiter, die sich ihrer Firma verbunden fühlen. Der Weg dorthin heißt People Company bzw. mitarbeiterorientierte Organisation. Eine Investition, die sich nicht nur lohnt, sondern heute eine Notwendigkeit ist.

12. Dezember 2019 Arbeitsrecht 2020

Welche Änderungen im Arbeitsrecht Sie 2020 berücksichtigen müssen.

23. Juli 2019 Ein Jahr DSGVO im HR-Bereich

Vor etwas mehr als einem Jahr ist die DSGVO (Datenschutzgrundverordnung) in Kraft getreten – wie sieht die Umsetzung in der Praxis aus? Aus den Erfahrungen mit Kunden haben wir Ihnen Tipps zu Daten bereinigen und Daten löschen zusammengestellt. Sie erfahren auch, worauf Sie als Personalabteilung speziell achten müssen. Denn ständig entstehen neue Anwendungen und Daten – insofern hört Datenschutz nie auf.